Город: Москва
Занятость: Полная, 5/2
Опыт работы: Более 6 лет
Наша распределенная команда Dev насчитывает более 800 специалистов и разрабатывает собственные продукты с 2012 года – рекламные платформы, игры, мобильные развлекательные приложения и финтех-продукты.
Сейчас мы ищем в команду безопасности опытного Security Auditor.
Обязанности:
- Разработка, сопровождение и развитие программы риск-ориентированных аудитов безопасности продуктов, серверной и облачной инфраструктуры, а также процессов разработки (SDLC, CI/CD, IAM, Secrets Management, IaC, Kubernetes).
- Независимая оценка эффективности технических и организационных контролей безопасности, реализуемых в продуктах, инфраструктуре и процессах разработки.
- Проверка соответствия продуктов, инфраструктуры и процессов внутренним политикам и стандартам компании, требованиям PCI DSS, а также другим применимым международным стандартам, фреймворкам и регуляторным требованиям.
- Подготовка аудиторских заключений и отчетов по результатам аудитов, формирование рекомендаций по снижению рисков, согласование планов корректирующих мероприятий и контроль их выполнения.
- Проведение анализа результатов расследований инцидентов безопасности и оценка достаточности существующих контролей по их итогам.
- Развитие программы непрерывного аудита и непрерывной оценки эффективности контролей безопасности, включая автоматизацию контрольных процедур и внедрение непрерывного мониторинга.
- Разработка показателей эффективности контрольной среды и совершенствование методологии оценки технических и организационных контролей безопасности.
Требования:
- Не менее 5 лет опыта работы в области информационной безопасности, включая не менее 2 лет в области внутреннего аудита.
- Опыт самостоятельного проведения аудитов современных технологических стеков (Web, API, серверной и облачной инфраструктуры, Kubernetes, CI/CD) с подготовкой формальных отчетов и представлением результатов руководству.
- Опыт проведения оценки рисков и формирования программы аудитов на основе риск-ориентированного подхода.
- Развитые аналитические навыки, системное мышление и способность принимать решения на основе оценки рисков.
- Знание методологии внутреннего аудита (ISO 19011), принципов построения эффективной системы внутреннего контроля (COBIT, Three Lines Model).
- Практический опыт оценки дизайна и эффективности технических и организационных контролей с использованием одного или нескольких международных стандартов.
- Понимание архитектуры современных приложений, серверной и облачной инфраструктуры, Kubernetes, Linux и CI/CD, достаточное для независимой оценки эффективности реализованных контролей безопасности.
- Понимание современных подходов к защите приложений и инфраструктуры, включая IAM (MFA, PAM, Federation), Zero Trust, Secrets Management, OWASP Top 10, OWASP API Security Top 10 и MITRE ATT&CK, достаточное для оценки зрелости технических контролей безопасности.
- Опыт подготовки аудиторских заключений и представления результатов аудитов техническому руководству, владельцам бизнес-процессов и руководству компании.
- Приветствуется: сертификации CISA, PCIP, CISSP, ISO/IEC 27001 Lead Auditor или аналогичные
Условия:
- Оформление в штат компании или контракт, несколько способов выплат;
- Remote из любого гео или гибридный офис;
- Гибкий график - лояльное начало дня с 9.00 до 11.00 по МСК, 8 часов рабочий день + перерывы на отдых на свое усмотрение;
- Возможность выбрать оборудование, доставим на дом в РФ;
- Развитие в карьере - внутренняя система грейдов с пересмотром раз в год по Performance Review;
- Непрерывное обучение: у нас есть внутренняя Академия, а также много партнёрских программ, которые поделятся знаниям не только в профессиональной сфере, но и поддержат твои хобби;
- Развитая культура коммуникаций: турниры онлайн и оффлайн, тех комьюнити, митапы, co-working дни, встречи и пати на летней веранде, тимбилдинги;
- Классный офис на Тульской с видом на Москву-реку и летней верандой.
Похожие вакансии